【前言】本文首發於安全牛,現修訂後發表於51CTO博客。這裏我從我目前創業所在的盛華安公司的視角對SOAR進行了剖析。
【摘要】繼新型安全檢測技術之後,如何藉助編排和自動化手段提升安全響應的效能成爲焦點,SOAR應運而生。什麼是SOAR?什麼是編排?具備什麼特點?包含哪些功能?本文對SOAR進行技術解析,並通過實例加以說明。
SOAR技術解析
隨着網絡安全攻|防對抗的日趨激烈,網絡安全單純指望防範和阻止的策略已經失效,必須更加註重檢測與響應。企業和組織要在網絡已經遭受攻|擊的假定前提下構建集阻止、檢測、響應和預防於一體的全新安全防護體系。
正是在這樣的背景下,在國際上,檢測和響應類產品受到了極大的關注。放眼國內,更多的注意力集中到了新型檢測產品,尤其是未知威脅檢測領域。藉助這些產品和技術,用戶獲得了更低的MTTD(平均檢測時間),能夠更快更準確地檢測出攻|擊和入|侵。但是,這些產品和技術大都沒有幫助用戶降低MTTR(平均響應時間)。事實上,對於用戶而言,更快地檢測出問題僅僅是第一步,如何快速地對問題進行響應更加重要。而在提升安全響應效率的時候,不能僅僅從單點(譬如單純從端點或者網絡)去考慮,還需要從全網整體安全運維的角度去考慮,要將分散的檢測與響應機制整合起來。而這,正是SOAR要解決的問題。
SOAR,即安全編排自動化與響應。該技術聚焦安全運維領域,重點解決(但不併不限於)安全響應的問題,最早由Gartner在2015年提出。當時,Gartner將SOAR定義爲安全運維分析與報告。隨着安全運維技術的快速發展與演變,到了2017年,Gartner重新將SOAR定義爲安全編排自動化與響應,並將其看作是安全編排與自動化(SOA, Security Orchestration and Automation)、安全事件響應平臺(SIRP)和威脅情報平臺(TIP, Threat Intelligence Platform)三種技術/工具的融合。Gartner認爲,SOAR技術仍然在快速演化,內涵未來仍可能會變化,但其圍繞安全運維,聚焦安全響應的目標不會改變。
就目前而言,SOAR的三大核心技術能力分別是安全編排與自動化、安全事件響應平臺、威脅情報平臺。
l 安全編排與自動化:這是SOAR的核心能力和基本能力。
安全編排與安全自動化是兩個不同的概念。其中,安全編排(Orchestration)是指將客戶不同的系統或者一個系統內部不同組件的安全能力通過可編程接口(API)和人工檢查點,按照一定的邏輯關係組合到一起,用以完成某個特定安全操作的過程。譬如用戶針對一封收到的可疑郵件進行深入檢測與響應(操作)的過程可以分解爲根據拆解出來的發件人、URL鏈接和IP等信息查詢威脅情報系統,將附件送入沙箱系統進行分析,並根據情報系統和沙箱系統返回的信息進一步決定是否要通知郵件系統刪除該郵件或者附件,是否要通過EDR獲取收件人終端上的進一步信息做分析,等等。上述這個可疑郵件分析的過程就是一個將郵件系統、威脅情報系統、沙箱系統、EDR等等系統通過一定的邏輯編排到一起的實例。
安全自動化(Automation)在這裏特指自動化的編排過程,也就是一種特殊的編排。如果編排的過程完全都是依賴各個相關係統的API實現的,那麼它就是可以自動化執行的。與自動化編排對應的,還有人工編排和部分自動化(混合)編排。
不論是自動化的編排,還是人工的編排,都可以通過劇本(playbook)來進行表述。而支撐劇本執行的引擎通常是工作流引擎。爲了方便管理人員維護劇本,SOAR通常還提供一套可視化的劇本編輯器。
劇本是面向編排管理員的,讓其聚焦於編排安全操作的邏輯本身,而隱藏了具體連接各個系統的編程接口及其指令實現。SOAR通常通過應用(App)和動作(Action)機制來實現可編排指令與實際系統的對接。應用和動作的實現是面向編排指令開發者的。
l 安全事件響應平臺:這是SOAR的關鍵功能,但也可以獨立於SOAR存在。
安全事件(Incident)響應平臺在SOAR出現之前就一直存在,顧名思義就是一個針對Incident進行響應和處置的平臺。但SOAR出現後,安全事件響應與安全編排與自動化的結合使得響應的能力獲得了極大的提升。通常,安全事件響應包括告警管理、工單管理、案件(Case)管理等功能。
告警管理的核心不僅是對告警安全事件的收集、展示和響應,更強調告警分診和告警調查。只有通過告警分診和告警調查才能提升告警的質量,減少告警的數量。
工單管理適用於中大型的安全運維團隊協同化、流程化地進行告警處置與響應,並且確保響應過程可記錄、可度量、可考覈。
案件管理是現代安全事件響應管理的核心能力。案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置,並不斷積累該案件相關的痕跡物證(IOC)和攻|擊者的戰技過程指標信息(TTP)。多個案件並行執行,從而持續化地對一系列安全事件進行追蹤處置。
l 威脅情報平臺:這是SOAR的重要功能,但也可以獨立於SOAR存在。
威脅情報平臺(TIP)是Gartner在2014年定義的一個細分市場,通多對多源威脅情報的收集、關聯、分類、共享和集成,以及與其它系統的整合,協助用戶實現攻|擊的阻斷、檢測和響應。威脅情報主要是以服務而非平臺的形式存在。目前TIP市場規模不大,廠商不多,有的是獨立存在,有的依附於威脅情報服務,還有的跟安全響應結合,融合到SOAR裏面。
通過上面的分析,我們可以發現,SOAR作爲安全運維的綜合響應平臺,具有極強的支撐作用。Gartner認爲,現代SOC(Modern Security Operations Center)將至少包括現代SIEM(Modern SIEM,即集成了UEBA的SIEM)和SOAR。也就是說,SOAR將作爲現代SOC中安全運維與響應的支撐平臺。Gartner估計,到2021年,70%的SOC將包括SOAR能力。這其中,既可能是SIEM附帶的SOAR,也可能是獨立SOAR平臺。
通過在SOC中實現SOAR,不僅可以完善SOC的安全響應的能力,尤其是編排和自動化能力,以及響應管理能力,並且能在整體上提升SOC的效能,包括安全事件調查分析(含MTTD)的速度、安全響應(MTTR)的速度、將分散的安全系統整合的能力,以及單個安全運維人員的生產率。
盛華安國內發佈SOAR
SOAR的價值和作用已經相當明顯。當前,國際上已經出現了多家SOAR專業廠商,而不少SIEM國際廠商也都推出(收購)了SOAR產品和功能。反觀國內,尚沒有出現專業的SOAR廠商,也沒有安全管理平臺廠商正式發佈SOAR產品或功能。究其原因,SOAR能力的獲得並非一朝一夕之功,需要深厚的安全運維技術積累。
正是在這樣的背景下,作爲國內具備十幾年安全管理與運維技術積累和實踐經驗的盛華安創業技術團隊,從4年前就注意到了SOAR技術,經過長期的調研,以及近1年的潛心研發,於2019年7月底國內發佈了SOAR功能(Cybersky-SOAR)!
盛華安此次國內發佈SOAR功能,符合國際技術發展大勢和國內客戶切實需求,推動了國內新一代安全管理平臺的發展,將國內安全管理平臺/SOC平臺/SIEM/安全態勢感知領域的技術水平帶上了一個新臺階,也再次印證了盛華安安全管理平臺團隊的強大實力。
盛華安SOAR主要包括告警管理、案件管理、工單管理、安全編排與自動化、威脅情報應用五大功能。
下圖展示了安全告警、案件管理、工單管理和安全編排自動化的功能組成及其相互關係:
l 告警管理
CyberSky-SOAR告警管理包括告警分診、告警調查、告警響應和告警庫四個功能。其中最核心的是告警分診和告警調查,這也是區別於傳統SIEM/SOC平臺的告警管理功能的關鍵之處。告警分診一方面能夠自動化地聚合告警信息,減少管理員需要查看的告警數量,同時還能自動地計算告警的可信度和處置優先級,幫助管理員聚焦關鍵的告警。告警調查是指針對告警信息的補充調查分析,剔除虛警,並將模糊的、低質量的告警變成高質量、有價值的告警的過程。在進行告警調查的時候,運維管理員可以調用安全編排與自動化的劇本或者動作,對告警進行增強,並最終通過告警透視獲得對告警信息全面的可見性,儘可能清晰、精準地將這個告警的相關信息呈現出來,方便管理員進行研判。
l 案件管理
CyberSky-SOAR案件管理幫助用戶對一組相關的告警進行流程化、持續化的調查分析與響應處置。通過案件的流程處理功能,可以爲不同性質的案件指派不同的案件處理流程,並監督執行;藉助案件的工件(Artifacts)管理功能,可以不斷積累該案件相關的痕跡物證(IOC)和攻|擊者的戰技過程指標信息(TTP);而通過編排調查與響應功能,可以對案件中的任何工件執行劇本或者動作,拓線追蹤,深挖疑點、豐富案件信息。
下圖展示了CyberSky-SOAR的某個案件管理的界面:
l 工單管理
CyberSky-SOAR具備標準的工單管理功能,支持用於突發性告警響應的一次性工單和日常(重複性)工單。工單流轉和處理過程全程記錄。
l 安全編排與自動化
安全編排與自動化是CyberSky-SOAR的核心功能,實現了劇本的編輯維護,以及應用和動作的管理。安全編排與自動化的核心是劇本庫和應用庫(動作庫)。這些庫可以被安全分析、告警管理和案件管理等功能隨時調用。通過該功能,真正實現了SOAR將不同的系統協同聯動起來的目標,就像一個交響樂隊的指揮。
下圖展示了CyberSky-SOAR的一個劇本的可視化編輯界面:
l 威脅情報應用
威脅情報應用功能的核心將外部的威脅情報與用戶自身網絡中收集到的告警信息進行情報比對分析和印證。
威脅情報應用既可以用在安全分析的時候,也可以用在告警調查、案件管理的時候。
下圖展示了在案件管理中調用外部威脅情報系統(VirusTotal)動作的界面:
總之,盛華安SOAR較爲完整地實現了Gartner對SOAR定義的核心能力,因而是真正意義上的SOAR產品。同時,盛華安SOAR的發佈,也踐行了公司成立之初提出的集數據攝取、數據存儲、數據治理、監測分析、指揮調度與一體的閉環態勢感知與管理技術架構的理念。
